Investigadores en ciberseguridad han revelado detalles de fallos de seguridad en el software de correo web Roundcube que podrían ser explotados para ejecutar JavaScript malicioso en el navegador de la víctima y robar información sensible de su cuenta bajo circunstancias específicas.
Según el análisis publicado esta semana por la empresa de ciberseguridad Sonar, «cuando una víctima visualiza un correo electrónico malicioso en Roundcube enviado por un atacante, este puede ejecutar JavaScript arbitrario en el navegador de la víctima.» Los atacantes pueden abusar de esta vulnerabilidad para robar correos electrónicos, contactos y la contraseña de la cuenta de correo de la víctima, así como enviar correos desde la cuenta comprometida.
Detalles de las Vulnerabilidades
Tras una divulgación responsable realizada el 18 de junio de 2024, las tres vulnerabilidades han sido abordadas en las versiones 1.6.8 y 1.5.8 de Roundcube, lanzadas el 4 de agosto de 2024. Las vulnerabilidades identificadas son:
- CVE-2024-42008: Un fallo de cross-site scripting a través de un archivo adjunto malicioso servido con un encabezado de tipo de contenido peligroso.
- CVE-2024-42009: Un fallo de cross-site scripting que surge del post-procesamiento de contenido HTML sanitizado.
- CVE-2024-42010: Un fallo de divulgación de información debido a un filtrado insuficiente de CSS.
La explotación exitosa de estas vulnerabilidades podría permitir a atacantes no autenticados robar correos electrónicos y contactos, así como enviar correos electrónicos desde la cuenta de la víctima, todo ello después de que la víctima visualice un correo electrónico especialmente diseñado en Roundcube.
Impacto y Mitigación
El investigador en seguridad Oskar Zeino-Mahmalat señaló que «los atacantes pueden obtener una posición persistente en el navegador de la víctima incluso después de reinicios, permitiéndoles exfiltrar correos electrónicos continuamente o robar la contraseña de la víctima la próxima vez que se ingrese.»
Para un ataque exitoso, no se requiere interacción del usuario más allá de la visualización del correo electrónico del atacante para explotar la vulnerabilidad crítica de XSS (CVE-2024-42009). Para CVE-2024-42008, se necesita un solo clic por parte de la víctima para que el exploit funcione, pero el atacante puede hacer que esta interacción pase desapercibida para el usuario.
Se han retenido detalles técnicos adicionales sobre los problemas para dar tiempo a los usuarios a actualizar a la última versión, especialmente debido a que las vulnerabilidades en el software de correo web han sido repetidamente explotadas por actores estatales como APT28, Winter Vivern y TAG-70.
Vulnerabilidad Crítica en RaspAP
Los hallazgos de Sonar coinciden con la revelación de un fallo de escalada de privilegios locales de máxima severidad en el proyecto de código abierto RaspAP (CVE-2024-41637, puntuación CVSS: 10.0) que permite a un atacante elevarse a root y ejecutar varios comandos críticos. La vulnerabilidad ha sido corregida en la versión 3.1.5.
Un investigador de seguridad que utiliza el alias en línea 0xZon1 explicó: «El usuario www-data tiene acceso de escritura al archivo restapi.service y también posee privilegios sudo para ejecutar varios comandos críticos sin una contraseña. Esta combinación de permisos permite a un atacante modificar el servicio para ejecutar código arbitrario con privilegios de root, escalando su acceso de www-data a root.»
Conclusión
Estas revelaciones subrayan la importancia de mantener el software actualizado y la necesidad de implementar medidas de seguridad robustas para proteger los sistemas contra vulnerabilidades potencialmente explotables. Los usuarios de Roundcube deben actualizar inmediatamente a las versiones más recientes para mitigar estos riesgos y asegurar sus datos contra posibles ataques.
